Bạn đã biết HTTP, đã dùng curl, đã deploy lên cloud. Nhưng khi API timeout bí ẩn, khi deploy xong có 502 nháy, khi pod không reach được service khác — bạn cần biết nhiều hơn.
Loạt bài này đi từ nền tảng giao thức đến vận hành thực tế, theo trục “hiểu để debug được, không chỉ để biết”.
Đối tượng
| Bạn là | Bạn sẽ học được |
|---|---|
| Developer | Debug DNS/TLS/timeout; đọc log LB; nói đúng từ vựng với platform team. |
| DevOps / SRE | Thiết kế path mạng; review VPC/SG/Ingress; quan sát và deploy an toàn. |
Tiền đề: biết client/server và HTTP ở mức dùng hằng ngày. Không cần chứng chỉ mạng.
Bốn giai đoạn
Giai đoạn I — Bản đồ & giao thức
Dữ liệu đi qua những lớp nào trước khi thành HTTP response?
- Mạng tổng quan và mô hình tầng — Host → kernel → NIC; MTU; latency vs throughput.
- IP, subnet và routing — CIDR, gateway, routing table; nền cho VPC.
- TCP, UDP và cổng — Socket, handshake, refused vs timeout.
- DNS thực dụng — Bản ghi, TTL, resolver,
dig; nền cho CoreDNS.
Giai đoạn II — Ứng dụng trên Internet (HTTP stack)
HTTPS thực sự là gì, và HTTP/2/3 thay đổi điều gì cho vận hành?
- HTTP, HTTPS, HTTP/2 và HTTP/3 — Keep-alive, multiplexing, QUIC, timeout LB.
- TLS — chứng chỉ, CA chain và SNI — Cert, SAN, SNI; lỗi
ERR_CERT_*. - Checklist debug mạng từ DNS tới HTTP —
curl -v,nc, quy trình 4 bước.
Giai đoạn III — Nơi workload chạy (OS → container → cluster)
Trên server / pod, mạng “trông” như thế nào và ai đang nghe cổng nào?
- Mạng Linux trên server —
ip,ss, iptables, sysctl. - Mạng trong Docker — Bridge, NAT, publish port, MTU.
- Mạng trong Kubernetes — Pod IP, Service, Ingress, CoreDNS, NetworkPolicy.
Nhánh nâng cao (tuỳ chọn): 17. Service mesh và mTLS — Sidecar, east-west, khi nào không cần mesh. Đọc sau bài 10 hoặc 12 tuỳ mục tiêu.
Giai đoạn IV — Hạ tầng & vòng đời (cloud → quan sát → thay đổi có kiểm soát)
Làm sao thiết kế path ra internet, vào service, TLS tự động, rồi không “gãy” lúc release?
- VPC và mạng trên cloud — Public/private subnet, IGW, NAT, SG/NACL.
- Load balancer và health check — L4 vs L7, drain, graceful shutdown.
- TLS tự động với cert-manager — ACME, Let’s Encrypt, rotate, HSTS.
- Quan sát mạng (Observability) — RED/USE, access log, trace ID.
- IaC và GitOps cho hạ tầng mạng — Terraform/OpenTofu, GitOps review, drift.
- Release an toàn và xử lý incident mạng — Rolling, DNS TTL, CDN, checklist incident.
Lộ trình đọc theo mục tiêu
| Mục tiêu | Thứ tự đọc |
|---|---|
| Tự debug API hằng ngày | 01 → 04 → 07 (thêm 05–06 khi đụng HTTPS) |
| Làm việc với server / Docker | 01 → 03 → 08 → 09 |
| Lên Kubernetes + cloud | 02 → 10 → 11 → 12 → 13 |
| Vận hành & release | 12 → 14 → 15 → 16 |